Il 30/01/10, Gelpi Andrea<liste@xxxxxxxx> ha scritto: > Roberto Resoli ha scritto: > > > Il 30/01/10, gdo@xxxxxxxxx<gdo@xxxxxxxxx> ha scritto: > > ... > > > > > Non sapevo che la legge permettesse di delegare la conservazione delle > > > chiavi crittografiche a terzi! Avevo compreso che dovesse essere > gelosamente > > > conservato dal titolare, unico soggetto a conoscenza delle password > > > diaccesso al dispositivo e nemmeno lui in possesso della chiave privata. > > > > > > > già. Ma le ultime regole sulla firma digitale sembrano atte apposta > > per agevolare l'uso di HSM (hardware security modules) lato server. > > Che ovviamente stanno diventando molto popolari tra chi offre > > servizi via web. Nessun sw da installare presso il client, niente > > applet o plugin, niente lettori e carte ... > > > > Anch'io sono mooolto perplesso. I presupposti base nell'uso dei > > dispositivo di firma sono: > > > > - generazione delle chiavi a borddo e non estraibilità della privata. > > - possesso e uso esclusivo del dispositivo da parte del titolare. > > > > che ne è di queste cose con gli HSM remoti? Grosso mah... > > > > > > Roberto, scusa ma non ti seguo. > > Gli HSM che conosco permettono la creazione e conservazione al loro interno > di un numero ridicolo di chiavi private. > Ne avevo cercati alcuni a dicembre 2008 e al massimo arrivavano a 16 chiavi > con costi di alcune migliaia di Euro. > > Visti i costi non credo sia utilizzabili per le chiavi dei clienti. Ah! Buono a sapersi, io non ne ho mai visto uno, ma la cosa allora è ancora più preoccupante, almeno gli hsm potrebbero essere certificati per lo stesso livello di sicurezza (EAL4+) richiesto dalla normativa europea per gli SSCD (Secure Signature Creation Device). http://www.interlex.it/testi/pdf/dec030714.pdf http://www.interlex.it/testi/pdf/cwa14169.pdf Mi chiedo che grado di validità possano avere firme create senza nemmeno gli hsm. -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx